本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基础设施层威胁的检测逻辑
用于保护目标Amazon资源免受基础设施层(第 3 层和第 4 层)的 DDoS 攻击的检测逻辑取决于资源类型以及资源是否受保护Amazon Shield Advanced。
检测亚马逊 CloudFront 和亚马逊 Route 53
当您使用 CloudFront 和 Route 53 为 Web 应用程序提供服务时,发往应用程序的所有数据包都将由全内联 DDoS 缓解系统进行检查,该系统不会引入任何可观察到的延迟。实时缓解了针对 CloudFront 分布和 Route 53 托管区域的 DDoS 攻击。无论您是否使用,这些保护措施都适用Amazon Shield Advanced。
遵循最佳实践,尽可能使用 CloudFront Route 53 作为 Web 应用程序的入口点,以最快地检测和缓解 DDoS 事件。
检测Amazon Global Accelerator和区域服务
资源级检测可保护在Amazon区域中启动的Amazon Global Accelerator标准加速器和资源,例如经典负载均衡器、应用程序负载均衡器和弹性 IP 地址 (EIP)。这些资源类型会受到监控,以防流量升高可能表明存在需要缓解的 DDoS 攻击。每分钟都会评估每种Amazon资源的流量。如果资源的流量增加,则会进行额外的检查以衡量资源的容量。
Shield 执行以下标准检查:
-
Amazon Elastic Compute Cloud (Amazon EC2) 实例,附加到 Amazon EC2 实例的 EIP,Shield ald 从受保护资源中检索容量 容量取决于目标的实例类型、实例大小和其他因素,例如实例是否使用增强联网。
-
经典负载均衡器和 Application Load-Shial ancer 从目标负载均衡器节点检索容量。
-
连接到网络负载均衡器的 EIP — Shield 从目标负载均衡器检索容量。容量与目标负载均衡器的组配置无关。
-
Amazon Global Accelerator标准加速器 — Shield 根据端点配置检索容量。
这些评估涉及网络流量的多个维度,例如端口和协议。如果超过目标资源的容量,Shield 会发出 DDoS 缓解措施。Shield 采取的缓解措施将减少 DDoS 流量,但可能不会消除 DDoS 流量。如果在与已知的 DDoS 攻击向量一致的流量维度上超过资源容量的一小部分,Shield 也可以采取缓解措施。Shield 将这种缓解设置为有限的生存时间 (TTL),只要攻击持续进行,它就会延长生存时间 (TTL)。
注意
Shield 采取的缓解措施将减少 DDoS 流量,但可能无法消除 DDoS 流量。您可以使用诸如Amazon Network Firewall主机防火墙之类的解决方案来增强 Shield,iptables以防止您的应用程序处理对您的应用程序无效或不是由合法最终用户生成的流量。
Shield Advanced 保护为现有的 Shield 检测活动增加了以下内容:
-
较低的检测阈值 — Shield Advanced 将缓解设置为计算容量的一半。这可以更快地缓解缓慢加剧的攻击,并缓解容量特征更加模糊的攻击。
-
间歇性攻击保护 — Shield Advanced 根据攻击的频率和持续时间将缓解措施的生存时间 (TTL) 呈指数级增长。当资源经常成为攻击目标和短时间内发生攻击时,这可以延长缓解措施的有效期。
-
基于运行状况的检测 — 当您将 Route 53 Health 检查与 Shield Advanced 保护的资源关联时,将在检测逻辑中使用运行状况检查的状态。在检测到的事件期间,如果运行状况检查正常,Shield Advanced 需要在采取缓解措施之前更加确信该事件是攻击。相反,如果健康检查不健康,Shield Advanced 可能会在信心建立之前就采取缓解措施。此功能有助于避免误报,并可更快地应对影响应用程序的攻击。有关使用 Shield Advanced 进行健康检查的信息,请参阅使用运行状况检查配置基于健康的检测。